Скачать презентацию
Идет загрузка презентации. Пожалуйста, подождите
Презентация была опубликована 11 лет назад пользователемatheros.com.ua
1 Технологии, применяемые при построении сетей на основе коммутаторов D-Link Карагезов Владислав, консультант по проектам
2 Требования к современным сетям Производительность и отказоустойчивость Обеспечение доступа к ресурсам сети и возможность коммуникаций с партнерами и клиентами Минимизация времени простоя сети во избежании убытков Защищенность от несанкционированного доступа
3 Дополнительные функции коммутаторов 2-го уровня Поддержка IEEE 802.1Q VLAN (на основе меток) Spanning Tree Protocol (IEEE 802.1D) и Rapid STP (IEEE 802.1w) Приоритезация пакетов IEEE 802.1p и 4 очереди Контроль широковещательных штормов Объединение портов в транк - Link Aggregation (IEEE 802.3ad Static mode) Функция Port Security (ограничение кол-ва MAC на заданном порту) IGMP для ограничения широковещательных доменов в VLAN Сегментация трафика Контроль полосы пропускания Контроль доступа к среде передачи IEEE 802.1x SNMP-управление Управление через web Журналирование событий при помощи Syslog Зеркалирование портов (трафик множества портов на один выбранный порт) Обновление ПО и backup файла конфигурации
4 Дополнительное деление сетевых сегментов для уменьшения трафика и перегрузок Логические группы в LAN VLAN подобны широковещательным доменам Обеспечение безопасности и разделения доступа к ресурсам Виртуальные Локальные Сети - VLAN
5 VLAN на базе портов VLAN на базе MAC-адресов VLAN на базе меток - стандарт IEEE 802.1Q Типы VLAN
6 Модель VLAN на базе портов VLAN 802.1Q Широковещательные домены на базе MAC- адресов DES DES DES DES-3624(i)(F) DES-6000 DGS-3204F - - DGS-3208F(TG) DES DGS-3308F - - DES-6300 Таблица использования различных типов VLAN в коммутаторах D-Link:
7 Применяется в пределах одного коммутатора Простота настройки Возможность изменения логической топологии сети без физического перемещения рабочих станций Каждый порт может входить только в один VLAN VLAN на базе портов
8 Пример VLAN на базе портов VLAN3 VLAN2 VLAN1 VLAN 2VLAN 3 VLAN 1VLAN 2VLAN 3
9 Для объединения виртуальных подсетей используется маршрутизатор VLAN 1VLAN 3VLAN 2 L2 switch Маршрутизатор
10 Коммутаторы DES-1218/1226 позволяют включать порт в несколько VLAN
11 VLAN на базе MAC-адресов Возможность физически перемещать станцию, позволяя оставаться ей в одном и том же широковещательном домене без каких-либо изменений в настройках конфигурации. Может потребовать от администратора выполнения большого количества ручных операций по маркировке МАС-адресов на каждом коммутаторе сети.
12 Пример VLAN на базе MAC-адресов VLAN2 VLAN1 VLAN BABDD583 VLAN 1 VLAN BABDC425 VLAN BABDD2E8 VLAN BABDE2CB VLAN BABD2FC3
13 IEEE 802.1Q VLAN Гибкость и удобство настройки и изменения Возможность работы протокола Spanning Tree Возможность работы с сетевыми устройствами, которые не распознают метки Устройства разных производителей, могут работать вместе Не нужно применять маршрутизаторы, чтобы связать подсети
14 Пример для 802.1Q VLAN V3 U VLAN3 VLAN2 VLAN1 DES-3624i V1,V2 V1,V2, V3 DES-6000 V1V2V3 V1 V2 V3 V1V2 V1 V2 V3 TTT T T T UU UU U U V1 V2 V1,V2, V3
15 Маркированные кадры-Tagged Frame Max. Размер маркированного кадра Ethernet 1522 байт Немаркированный кадр это кадр без VLAN маркера DASATaggedDataCRC Priority VID CFI 12-бит VLAN маркер Идентифицирует кадр, как принадлежащий VLAN
16 VID и PVID VID (VLAN Identifier) 12-bit часть VLAN маркера Указывает какая VLAN 12 бит определяет 4096 VLAN ов VID 0 и VID 4095 зарезервированы PVID (Port VID) Ассоциирует порт с VLAN Например, Порту с PVID 3, предназначены все немаркированные пакеты VLAN 3
17 VLAN схема B1B2C1C2 File Server VLAN B Computer : B1, B2 & File Server VID : 1 Untag Egress : Port 1, 2 & 3 Port 1 & 2 assign PVID = 1 VLAN C Computer : C1, C2 & File Server VID : 2 Untag Egress : Port 3, 4 & 5 Port 4 & 5 assign PVID = 2 VID : 3 Untag Egress : Port 1, 2, 3, 4 & 5 Port 3 assign PVID = 3 VLAN A Computer : B1, B2, C1, C2 & File Server Деление сети на две VLAN с предоставлением общего файл-сервера:
18 Правила коммутации маркированных & немаркированных портов (Входящие данные) Прием данных с маркером –Проверка маркировки VID –Коммутация кадра на определенную VLAN группу Прием данных без маркера –Проверка его PVID –Коммутация кадра на определенную VLAN группу
19 Правила коммутации маркированных & немаркированных портов (Исходящие данные) Исходящий порт – маркированный порт –Маркировка кадра –Для идентификации кадра как принадлежащего VLAN группе Исходящий порт – немаркированный порт –Удаление маркера
20 Выходящие (Egress) порты Установка портов, передающих трафик в VLAN похожа на маркированные и немаркированные кадры Это означает, что VLAN кадры могут передаваться (выходить) через выходящие порты. Таким образом, порт, принадлежащий VLAN, должен быть Выходящим (Egress) портом (E)
21 Маркированный входящий пакет (Часть 1) Входящий пакет назначен для VLAN 2 потому, что в пакете есть маркер принадлежности Порт 5 маркирован как Выходящий для VLAN 2 Порт 7 не маркирован как Выходящий для VLAN 2 Пакеты перенаправляются на порт 5 с маркером Пакеты перенаправляются на порт 7 без маркера
22 Маркированный входящий пакет (Часть 2) Маркированный пакет останется без изменений Маркированный пакет потеряет маркер, т.к. он уйдет с коммутатора через немаркированный порт
23 Немаркированный входящий пакет (Часть 1) PVID порта 4 -> 2 Входящий немаркированный пакет назначен на VLAN 2 Порт 5 маркированный Выходящий VLAN 2 Порт 7 немаркированный Выходящий VLAN 2 Пакеты с порта 4 перенаправляются на порт5 с маркером Пакеты с порта 4 перенаправляются на порт7 без маркера
24 Немаркированный входящий пакет (Часть 2) Немаркированный пакет маркируется, т.к.он выходит через маркированный порт VID связан с PVID входящего порта Немаркированный пакет не изменен, т.к. выходит через немаркированный порт.
25 VLAN Схема 2 Деление сети, построенной на 2-х коммутаторах на две VLAN. VLAN A : Computer A1, A2, A3 & A4 Switch X VID : 2 Tag Egress : Port 5 Untag Egress : Port 1 & 2 Port 1 & 2 assign PVID = 2 Switch Y VID : 2 Tag Egress : Port 1 Untag Egress : Port 2 & 3 Port 2 & 3 assign PVID = 2 VLAN B : Computer B1, B2, B3 & B4 Switch X VID : 3 Tag Egress : Port 5 Untag Egress : Port 3 & 4 Port 3 & 4 assign PVID = 3 Switch Y VID : 3 Tag Egress : Port 1 Untag Egress : Port 4 & 5 Port 4 & 5 assign PVID = Switch Y Switch X A1A2A2 B1B2A3A3 A4A4 B3B4
26 VLAN схема 3 Деление сети на две VLAN A1A2B1B2 VLAN A Computer : A1 & A2 VID : 2 Untag Egress : Port 1 & 2 Port 1 & 2 assign PVID = 2 VLAN B Computer : B1 & B2 VID : 3 Untag Egress : Port 4 & 5 Port 4 & 5 assign PVID = 3
27 Объединение портов в транк Link Aggregation Увеличение полосы пропускания Обеспечение отказоустойчивости Баланс нагрузки Все избыточные связи задействованы
28 Группы могут объединять только порты с одинаковой скоростью и одинаковой средой передачи Для настройки транка достаточно настроить «связывающий порт» Для STP транк – это один канал
29 Распределение потоков по каналам транков
30 Настройка транков
31 Параметры настройки транков Anchor (Master) port - для настройки портов в группе необходимо только настроить связывающий порт Name - задайте имя транка Members – включите выбранные порты в транк State – состояние: включен, выключен или очистить
32 Транк между коммутатором и сервером Устранение «узких» мест в сети Повышение производительности для систем клиент-сервер Вся настройка осуществляется только на стороне сервера с помощью программного обеспечения D-Link Возможность создавать транк между сервером и коммутатором, не поддерживающим транки
33 DFE-580TX
34 Spanning Tree Protocol Резервные связи между коммутаторами Обеспечение единственного маршрута без логических петель Стандартизованный протокол Автоматическое изменение конфигурации при отказе линий без вмешательства оператора
35 Основные определения в STP Root Switch - Корневой коммутатор, от него строится дерево Root Port - Корневой порт - порт, который имеет по сети кратчайшее расстояние до корневого коммутатора Designated Port - Назначенный порт - порт, который имеет кратчайшее расстояние от данного сегмента сети до корневого коммутатора Path Cost – Метрика, суммарное условное время на передачу данных от порта данного коммутатора до порта корневого коммутатора
36 Перед применением протокола STP
37 После применения протокола STP
38 Пакеты BPDU содержат информацию для построения топологии сети без петель Пакеты BPDU помещаются в поле данных кадров канального уровня, например, кадров Ethernet. Они содержат несколько полей, определяющих работу STP. Среди них наиболее важные: Идентификатор коммутатора Расстояние до корневого коммутатора Идентификатор порта
39 Изменение состояния портов в процессе работы STP Blocking – при включении все порты находятся в состоянии «Заблокирован» Listening - порт генерирует, принимает и передает BPDU Learning – «Обучение», начинает принимать пакеты и на основе адресов источника строить таблицу коммутации Forwarding – Начинает продвижение пакетов Disable – Вручную отключен администратором
40 Основные параметры STP Priority – Приоритет коммутатора. От 0 до Hello Time- интервал между передачей BPDU корневым коммутатором. От 1 до 10 с. Max. Age - Если по истечении интервала времени, установленного в Max.Age от корневого коммутатора все еще не пришел пакет BPDU, то ваш коммутатор начнет сам посылать пакеты BPDU. От 6 до 40 с.
41 Основные параметры STP (продолжение) Forward Delay Timer – Время перед переход порта в состояние продвижения пакетов. От 4 до 30 с. Port Priority – Приоритет порта. Чем меньше значение данного параметра, тем выше вероятность, что порт станет корневым. От 0 до 255. Port Cost – «Стоимость» порта. От 1 до 65535
42 Время схождения: STP 802.1d: 30 сек. RSTP 802.1w: меньше 1 сек. Диаметр сети: STP 802.1d и 802.1w: 7 переходов, 14 для типа «кольцо» RSTP 802.1w обратно совместим с STP 802.1d. Сравнение протоколов STP 802.1d и RSTP 802.1w
43 Обратная совместимость RSTP 802.1w с STP 802.1d 802.1d802.1w 802.1d RSTP BPDUSTP BPDU
44 Дополнительный уровень безопасности Привязка MAC-адресов к порту позволяет предотвратить несанкционированный доступ на канальном уровне - Port Security Неизменяемая таблица MAC-адресов даже при длительной неактивности устройств или перегрузках сети Настройка таблицы фильтрации коммутатора. Port Security
45 ETTHИнтернет Пример: Порт 1: Максимальное кол-во адресов = 1 Порт 2: Максимальное кол-во адресов = 1 Порт 3: Максимальное кол-во адресов = 1 Порт 4: Максимальное кол-во адресов = 8 И т.д. Функция Port Security На каждом порту Ethernet можно контролировать максимальное кол-во MAC-адресов, которое может быть изучено. Это полезно в решениях ETTH для контроля за тем, какие пользователи и сколько могут одновременно подключаться к Интернет. Max. User = 1 Max. user = 1 Max. user = 8
46 Mac1 Mac2 Mac3 Mac4 Включить блокировку автообучения на каждом порту (DES-3226S) Ввести список разрешенных MAC-адресов в статическую таблицу MAC-адресов. Максимальное кол-во записей для DES-3226S= 128. Данное значение может варьироваться в зависимости от модели коммутатора. Mac5 Mac6 Mac7 Серверы Mac8 Mac9 mac10 Защита от несанкционированного доступа Задача: MAC-адреса, не внесенные в список на порту не могут получить доступа к сети Магистраль сети
47 Стандарт IEEE 802.1p определяет приоритет пакета при помощи тэга в его заголовке. Можно задать до 8 уровней приоритета от 0 до 7. Уровень 7 определяет самый высокий приоритет. Коммутаторы поддерживают 4 очереди Class of Service на каждом порту. Для маркированных пакетов приоритет может быть изменен на одну из четырех очередей CoS. Для немаркированных пакетов приоритет выставляется исходя из приоритета, выставленного на данном порту. Протокол IEEE 802.1P
48 Как работает Как работает 802.1p Приоритет : Очередь : Порт : Class-0Class-1Class-2Class ……………………………. 4 очереди приоритета
49 Данный пример показывает настройку приоритета по умолчанию для пакетов, которым не было еще присвоено никакое значение приоритета P приоритет по умолчанию
50 Данный экран показывает возможность настройки класса приоритета для трафика, указывая значения класса от 0 до 3 в соответствии с 8-ю уровнями приоритета коммутатора P приоритет, определяемый настройкой
51 QoS STRICT (строгий) режим Round Robin (круговой) режим Когда поступают данные с высоким уровнем приоритета, устройство передает их первыми. Только после того, как завершена передача данных с высоким уровнем приоритета, начинается передача данных с более низким уровнем приоритета. QOS включает два режима работы: Алгоритм QoS начинает работу с самого высокого QoS для данного порта, пересылает максимальное количество пакетов, затем перемещается к следующему, более низкому уровню QoS.
52 Max. Packets Алгоритм QoS начинает работу с самого высокого QoS для данного порта, пересылает максимальное количество пакетов, затем перемещается к следующему, более низкому уровню QoS. В данном поле может быть введено значение от 0 до 255. Если введен 0, коммутатор будет продолжать обрабатывать пакеты пока в очереди не останется больше пакетов. Max. Latency Максимальное время, в течении которого пакет будет оставаться в очереди QoS. Пакет в данной очереди не может задерживаться дольше указанного времени. Таймер отключен, если значение установлено в 0. Каждая единица данного таймера эквивалентна 16 миллисекундам. Настройка QoS
53 ETTH Пример: Порт 1: Upstream = 1 Мбит/с, Downstream = 1 Мбит/с Порт 2: Upstream = 1 Мбит/с, Downstream = 10 Мбит/с Порт 3: Upstream = 1 Мбит/с, Downstream = 50 Мбит/с Порт 4: Upstream = 5 Мбит/с, Downstream = 100 Мбит/с Контроль полосы пропускания На каждом порту Ethernet можно настроить ограничение скорости на входящий/исходящий трафик. U/D=1/50 U/D=1/10 U/D=5/100
54 Настройка полосы пропускания Настройка полосы пропускания для входящего и исходящего трафика на каждом порту
55 Определение протокола IEEE 802.1x Протокол определяет доступ на основе модели Клиент/Сервер и протокол аутентификации, который не позволяет неавторизованным устройствам подключаться к локальной сети через порты коммутатора. Сервер аутентификации (RADIUS) проверяет права доступа каждого клиента, подключаемого к порту коммутатора прежде, чем разрешить доступ к любому из сервисов, предоставляемых коммутатором или локальной сетью. Сервер аутентификации RADIUS …….. Клиент Коммутатор Клиент
56 Роли устройств в протоколе 802.1x Клиент: Это рабочая станция, которая запрашивает доступ к локальной сети и сервисам коммутатора и отвечает на запросы от коммутатора. На рабочей станции должно быть установлено клиентское ПО для 802.1x, например то, которое встроено в ОС Microsoft Windows XP Рабочая станция (Клиент) Сервер RADIUS (Сервер аутентификации ) Коммутатор (Authenticator)
57 Сервер аутентификации Сервер аутентификации: Сервер аутентификации проверяет подлинность клиента и информирует коммутатор предоставлять или нет клиенту доступ к локальной сетиa.. RADIUS работает в модели клиент/сервер, в которой информация об аутентификации передается между сервером и клиентами RADIUS. * Remote Authentication Dial-In User Service (RADIUS) Рабочая станция (Клиент) Коммутатор (Authenticator) Сервер RADIUS (Сервер аутентификации) Роли устройств в протоколе 802.1x
58 Authenticator Authenticator: Authenticator работает как посредник между Клиентом и Сервером аутентификации, получая запрос на проверку подлинности от Клиента, проверяет данную информацию при помощи Сервера аутентификации, и пересылает ответ Клиенту. Сервер RADIUS (Сервер аутентификации) Коммутатор (Authenticator) Рабочая станция (Клиент) Роли устройств в протоколе 802.1x
59 Коммутатор (Authenticator) Порт авторизован Порт не авторизован Процесс аутентификации в 802.1X EAPOL-Start EAP-Request/Identity EAP-Response/IdentityRADIUS Access-Request RADIUS Access-ChallengeEAP-Request/OTP EAP-Response/OTPRADIUS Access-Request RADIUS Access-AcceptEAP-Success EAPOL-Logoff * OTP (One-Time-Password) RADIUS Account-Stop RADIUS Ack Рабочая станция (Клиент) Сервер RADIUS (Сервер аутентификации)
60 Рабочая станция: клиент 802.1x встроен в ОС Window XP. Иначе требуется клиентское ПО для 802.1x. Коммутатор: 1. Активировать 802.1x на устройстве enable 802.1x 2. Настроить 802.1x на портах config 802.1x capability Портs 1-24 authenticator 3. Настроить параметры для сервера Radius config radius add key default Сервер Radius: Windows NT или Windows 2000 Server Radius Server Service. Настройка 802.1x
61 802.1x на основе портов После того, как порт был авторизован, любой пользователь, подключенный к порту может получить доступ к локальной сети x на основе MAC-адресов Не только проверяет имя пользователя/пароль, но и проверяет максимальное кол-во MAC- адресов, доступных для работы. Если предел достигнут, то блокирует новый MAC-адрес. Сравнение 802.1x на основе портов и на основе MAC-адресов
62 Сегментация трафика Сегментация трафика служит для разграничения доменов на уровне 2. Данная функция позволяет настраивать порты таким образом, чтобы они были изолированы друг от друга, но в то же время имели доступ к разделяемым портам, используемым для подключения сервером и магистрали сети провайдера. Данная функция может быть использована при построении сетей провайдеров.
63 ………… PC2 ………………….. PC24 Все компьютеры (PC2 - PC24) имеют доступ к порту uplink, но не имеют доступа друг к друг на уровне 2 Решение можно использовать для: 1.В проектах ETTH для изоляции портов 2.Для предоставления доступа к общему серверу Сегментация трафика ETTH или Общий сервер ETTH – Ethernet To The Home
64 Настройка сегментации трафика Des-3226: Disable/Enable Des-3226S: Настройка таблицы сегментации на каждом порту
65 Управление при помощи SNMP Проблемы протокола SNMP версии 1 Обеспечение безопасности только на основе параметра Community String. Параметр передается в текстовом незашифрованном виде. Содержание пакетов SNMP также в виде plain-text. Если параметр Community String корректен, все дерево MIB может быть просмотрено или изменено. Решение: SNMP v3 D-View IP= /8 SNMP community String Для чтения = public Для чтения/записи = private IP= /8 Для чтения = public Для чтения/записи = private Что означает = Des3226
66 Новые возможности в SNMPv3 Обеспечение функций безопасности Шифрация/Дешифрация пакетов Возможность настройки уровня привилегий пользователя SNMP v3 включает следующие 4 модели: MPD(RFC2572) TARGET(RFC2573) USM(RFC2574): User-based Security Model VACM(RFC2575): View-based Access Control Model D-View 5.1 поддерживает SNMPv1 и SNMP V3. Управляемые устройства D-Link также поддерживают SNMP v1 & V3.
67 Access Control Profile обеспечивает ограничение прохождения трафика через коммутатор. Для включения функции Access Control Profile пользователь должен сначала создать маску профиля для определения того, какое поле пакета содержит признак, используемый для фильтрации и затем применить правило фильтрации, сопоставленное с маской. Поддержка до 10 профилей и до 50 правил. (Des-3226S, Des-3326S) Access Control Profile
68 Типы профилей доступа Ethernet: Profile ID VLAN MAC-адрес источника MAC-адрес назначения 802.1p Тип Ethernet Разрешить или запретить IP: ID профиля VLAN Маска IP-адреса источника Маска IP-адреса получателя DSCP Протоколы (ICMP, IGMP, TCP, UDP) Порты TCP/UDP Разрешить или запретить
69 Профили и правила доступа на уровне Ethernet
70 Профили доступа на уровне IP
71 Руководство по настройке профиля доступа Проанализируйте задачи фильтрации и определите какой профиль доступа использовать: Ethernet или IP Определитесь со стратегией и запишите ее Основываясь на стратегии, определите какие нужны маски профиля доступа - access profile mask и создайте их Добавьте правила - access profile rule связанные с маской Профили доступа проверяются последовательно, в соответствии с их ID. Профили с меньшими ID, проверяются первыми. Если не подходит ни один профиль, применяется политика по умолчанию Если необходимо, при совпадении профиля, значения тега для 802.1p может быть заменено новым, меняющим приоритет пакета
72 Internet PC-1 Другие компьютеры Интернет-шлюз: IP= / BA PC1: Разрешен доступ в Интернет IP /8, 0050ba6b18c8 gw= Остальные компьютеры (Запрещен доступ в Интернет) IP: 10.x.x.x/8 Интенет-шлюз Коммутатор уровня 2 Ethernet ACL – Пример 1 DES-3226S Сценарий: Разрешить некоторым пользователям доступ в Интернет, основываясь на MAC-адресах
73 # MAC 0050ba6b18c8 может получать доступ в Интернет и к другим компьютерам. # Компьютеры с другими MAC-адресами не могут получить доступ к Интернет, но могут получить доступ друг к другу create access_profile ethernet source_mac FF-FF-FF-FF-FF-FF destination_mac FF-FF-FF-FF-FF-FF permit profile_id 10 config access_profile profile_id 10 add access_id 11 ethernet source_mac ba-6b-18-c8 destination_mac ba # add other permitted MAC rule here. create access_profile ethernet destination_mac FF-FF-FF-FF-FF-FF deny profile_id 20 config access_profile profile_id 20 add access_id 21 ethernet destination_mac ba Правила: Если MAC-адрес назначения = шлюза и MAC-адрес источника = разрешенный компьютер, то разрешить (можно ввести несколько таких правил для других компьютеров, которым разрешен доступ) Если MAC-адрес назначения = шлюза, то запретить Иначе (разрешить все остальное по умолчанию) Тест: PC1 может обмениваться пакетами icmp с Интернет. (Разрешенный MAC-адрес имеет доступ в Интернет) PC2 не может обмениваться пакетами icmp с Интернет. (Другие компьютеры не имеет доступ в Интернет) PC1 и PC2 могут обмениваться пакетами icmp друг с другом. (Intranet OK) Коммутатор уровня 2 Ethernet ACL – Пример 1
74 IP: /32.1 ~.63 Доступ в Интернет разрешен: ~ Остальным компьютерам разрешен доступ только в локальную сеть Интенет-шлюз Другие компьютеры Сеть: x Des-3226S Сценарий: Разрешить некоторым пользователям доступ в Интернет, основываясь на IP-адресах Internet Коммутатор уровня 2 Ethernet ACL – Пример 3
75 Правила: 1.Если DestIP= /32 и SrcIP= /26, то доступ разрешен 2.Если DestIP= /32 и SrcIP= /24, то доступ запрещен 3.Иначе, по умолчанию разрешить доступ для всего остального Тест: ~ имеют доступ в Интернет (через.254) и имеют доступ друг к другу.64 ~.253 PC ~.253 PC имеют доступ ко всем компьютерам.1~.253 PC, но не имеют доступ к шлюзу.254 # разрешить доступ с адресов.1 ~.63 на шлюз.254 create access_profile ip destination_ip_mask source_ip_mask permit profile_id 10 config access_profile profile_id 10 add access_id 11 ip destination_ip source_ip # запретить доступ с адресов.1~.253 на шлюз.254 create access_profile ip destination_ip_mask source_ip_mask deny profile_id 20 Config access_profile profile_id 20 add access_id 21 ip destination_ip soruce_ip # Иначе, по умолчанию разрешить доступ Коммутатор уровня 2 Ethernet ACL – Пример 3
76 Net x Gw Подсеть 1( x) может быть доступной из подсети 2, подсети 3, подсети 4. Подсеть 2, подсеть 3, подсеть 4 не имеют доступ друг к другу Des-3326S Net x Gw Серверы Net x Gw Net x Gw Сценарий: Только одна подсеть IP может быть доступной из других подсетей Коммутатор уровня 3 IP ACL – Пример 1
77 # создадим правила доступа # разрешить доступ только к подсети x из других подсетей create access_profile ip destination_ip_mask permit profile_id 10 config access_profile profile_id 10 add access_id 11 ip destination_ip create access_profile ip source_ip_mask permit profile_id 20 config access_profile profile_id 20 add access_id 21 ip source_ip # разрешить доуступ внутри подсетей x, x и x. create access_profile ip source_ip_mask destination_ip_mask permit profile_id 30 config access_profile profile_id 30 add access_id 31 ip source_ip destination_ip config access_profile profile_id 30 add access_id 32 ip source_ip destination_ip config access_profile profile_id 30 add access_id 33 ip source_ip destination_ip #### здесь можно добавить другие сети, при необходимости # запретить все остальное. create access_profile ip source_ip_mask deny profile_id 40 config access_profile profile_id 40 add access_id 41 ip source_ip Правила: 1.Если Dest. IP= x, то разрешить доступ 2.Если Src. IP= x, то разрешить доступ 3.Если DestIP= x и destIP= x, то разрешить доступ 4.Если DestIP= x и SrcIP= x, то разрешить доступ 5.Если DestIP= x и SrcIP= x, то разрешить доступ 6.Запретить все остальное Тест: 1.Net2 ( x), Net3, Net4 имеют доступ к Net1 ( x). 2.Net2, Net3, Net4 не имеют доступ друг к другу Коммутатор уровня 3 IP ACL – Пример 1
78 Спасибо Служба технической поддержки:
Еще похожие презентации в нашем архиве:
© 2024 MyShared Inc.
All rights reserved.